zzzzsky / zzzzsky.github.io Goto Github PK

https://zzzzsky.com/2023/09/06/2023%E7%A7%8B%E6%8B%9B_WEB%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86/

Here's something encrypted, password is required to continue reading.

https://zzzzsky.com/2022/03/22/%E7%AC%AC4%E7%AB%A0_Linux%E5%AE%89%E5%85%A8%E6%9C%BA%E5%88%B6/

Stack Canaries简介Stack Canaries 是一种对抗栈溢出攻击的技术，即SSP安全机制，有时也叫Stack cookies， 他是一个随机数，保存在栈上，比函数返回地址更低的位置，因为要想覆盖到返回地址，必然先覆盖到Canary，所以在函数返回前检查Canary是否变化，就可以达到保护栈的目的。 写程序测试 1234567#include <stdio.h>int

https://zzzzsky.com/2023/11/14/2023%E7%A7%8B%E6%8B%9B_%E5%85%A8%E9%83%A8%E6%8A%95%E9%80%92/

奇安信（寄）提前批 2023年7月29日 样本分析工程师 https://app.mokahr.com/m/candidate/applications/deliver-query/qianxin 一面 2023年8月24日上午10:30 你最大的项目，问了些PowerShell去混淆相关的 说一下HOOK方式，常见的注入的方式？ 怎么分析钓鱼邮件的？ 分析过哪些病毒？ 有没有分析过.net的马？

https://zzzzsky.com/2019/05/18/WIN32%E5%AD%A6%E4%B9%A0/

字符编码1. ASCII编码0 - 7F， 0000 0000——–0111 1111标准ASCII码80 - FF 1000 0000 ——-1111 1111 扩展ASCII码 2.GB2312或GB2312-80(针对自己国家)基于扩展ASCII码 单独看每一个字节，都是扩展ASCII码表中的数据，2个表示一个汉字，这就是GB2312编码，但是GB2312存在很大的弊端，例:将一份GB

https://zzzzsky.com/2021/11/29/IDA%E7%9C%9F%E6%9C%BA%E8%B0%83%E8%AF%95%E5%AE%89%E5%8D%93so%E6%96%87%E4%BB%B6/

IDA真机调试安卓so文件简要看了网上很多的IDA真机调试安卓的文章，感觉很多步骤没有必要，这里整理一下最简单的实现安卓真机调试的步骤，以便以后参考，以 2021NCTF easy_mobile题目举例 步骤 首先需要一个root 后的手机，用数据线连接电脑，并且开启USB调试 电脑安装好 adb 运行adb list 观察设备是否已经连接 来到IDA安装目录的文件夹，将 用adb push

https://zzzzsky.com/2021/11/11/%E9%99%87%E5%8E%9F%E6%88%98%E7%96%AB2021_RE_WP/

陇原战”疫”2021网络安全大赛_RE_WPEasyRe方法一IDA打开分析 发现sub_4111406这个函数是对输入的flag进行加密，然后将加密后的数据存放到0X41A14C中 来到sub_4111406函数，并不能F5, 直接动态调试一直跟 、 发现程序在不断的生成一些数据，长度是32 多次调试，不同输入，这里获取的数据是一样的 分析，还原算法 12345678910111213

https://zzzzsky.com/2021/12/09/networkx%E8%A7%A3%E5%86%B3CTF_RE%E5%9B%BE%E9%97%AE%E9%A2%98/

networkx 解决CTF_RE图最短路径问题前言最近复现了了下今年L3HCTF的IDAAAAA题，然后通过此题又联想到了之前做的一道特殊的迷宫题invisible_maze-fix,发现通过python的networkx解决此类问题相当的方便，因此记录下解题过程，方便以后查询。 2道题目附件👇 链接：https://pan.baidu.com/s/1reVYGScanSCs5H4ykl60

https://zzzzsky.com/tags/?

某211研二在读|CTF_RE选手|tcl

https://zzzzsky.com/2022/04/01/pwn%E5%88%B7%E9%A2%981/

攻防世界PWN刷题11. dice_gameXCTF 4th-QCTF-2018 IDA打开程序分析，发现是一个随机数的小游戏 在这个地方存在溢出，可以把seed给覆盖掉，把seed覆盖为0，然后自己写个程序看随机数 123456789101112131415#include <stdio.h>#include <stdlib.h>int main(){

https://zzzzsky.com/2021/12/02/2021%E8%A5%BF%E6%B9%96%E8%AE%BA%E5%89%91_RE_WP/

2021西湖论剑_RE_WPTacticalArmedIDA打开发现有TLS回调函数，如果没有调试就初始化4个值 直接patch，强制jmp到4010F1的位置 第50行，v21那里是每次执行的指令 写OD脚本，在004014A3和 40146D位置下断点，OD运行脚本，打印出下图中一轮来 12345678910111213141516var fvar xmov f,"C:\U

https://zzzzsky.com/2023/02/20/Mastering_Malware_Analysis_Chapter_1/?

Mastering Malware Analysis Chapter 1只记录想记录的，一些熟练的就不记录了~ ~ ~CTI：Cyber Threat Intelligence IoCs: Indicator of Compromise IoAs: Indicators of Attack NDRs: Network Detection Responses 为什么分析恶意软件恶意软件分析在事件响

https://zzzzsky.com/2022/04/17/statCTF_%E9%83%A8%E5%88%86RE_WP/

2022* CTF部分RE题目WPSimple File SystemIDA打开程序进行分析 instruction.txt的内容为 123456789101112# instructionsI implemented a very simple file system and buried my flag in it.The image file are initiated as follo

https://zzzzsky.com/2022/03/27/%E7%AC%AC9%E7%AB%A0_%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2/

基本原理格式化字符串漏洞如今在桌面端已经比较少见了，但在物联网设备上依然层出不穷。 原理通过一个例子来说明 1234567#include <stdio.h>int main(){ printf("%s %d %s %x %x %x %3$s", "Hello World!", 233, "test");

https://zzzzsky.com/2023/12/17/2023%E5%BC%BA%E7%BD%91%E6%9D%AFRE_WP/

BabyreIDA打开分析，TLS中有反调试，直接patch 来到主函数分析加密算法，主逻辑是个魔改的xtea算法 直接调试取出key和密文，写对应的解密逻辑解密即可 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616

https://zzzzsky.com/2022/03/03/2022_SUSCTF%E9%83%A8%E5%88%86RE_WP/

2022_SUSCTF_tttree题解这道题比赛时，逆出了整个节点结构体，就是最后通过二叉树找到索引的时候不会了，只爆破出来了flag的4位，后来看了看别人的WP才发现程序中是存着节点之间的关系的（可惜啊，当时调试还是没有足够的耐心啊，这里复现下， 首先将程序去除ASLR, 用CFF Explorer打开程序，去除去除DLL Can move的属性，然后保存，这样每次程序加载的基址就不会变，就

https://zzzzsky.com/2021/11/12/2021%E5%BC%BA%E7%BD%91%E6%8B%9F%E6%80%81_babyre/

2021强网拟态rebabyreIDA动态调试，进入关键函数 分析函数，提取数据，还原算法 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808

https://zzzzsky.com/2022/03/21/2022%E8%99%8E%E7%AC%A6CTF_%E9%83%A8%E5%88%86RE_WP/

fpbe根据知乎这篇文章 https://zhuanlan.zhihu.com/p/467647354作者在编写程序中 有用到fpbe.bpf.c这个源文件，而在这个文件中用到了BPF_KPROBE(uprobe)，这个函数就是在那个fpbe程序中的uprobed_function之前执行，但是BPF_KPROBE(uprobe) 是ebpf字节码形式的，IDA看不到，所以先binwalk提取出用

https://zzzzsky.com/2021/12/04/%E5%AE%89%E5%8D%93%E9%87%8D%E6%96%B0%E7%AD%BE%E5%90%8D%E6%89%93%E5%8C%85%E8%B0%83%E8%AF%95/

2道CTF_APK题不能调试的解决方法及引发的思考前言最近找到2个安卓题目来练习，分析后发现如果可以调试的话会大大降低难度（一道是JEB调试，一道是IDA调试so文件），于是我用工具开始调试，发现都没有办法调试，经过各种查阅资料终于可以调试了，于是写下此文，记录下环境配置。 链接：https://pan.baidu.com/s/1nYwqxmipw_marYN6wKJjAg 提取码：9rxq

https://zzzzsky.com/2021/11/29/NCTF2021_RE_WP/

NCTF2021_RE_WPHello せかい记事本都能做的题.IDA打开直接看到flag flag为 NCTF{We1come_2_Reverse_Engineering} Shadowbringerbase64换了2次表，调试起来找到表，逆回去即可 写脚本解密 1234567891011121314import base64flag = "U>F2U

https://zzzzsky.com/2023/03/17/MDA1/

分析的样本： 59ed41388826fed419cc3b18d28707491a4fa51309935c4fa016e53c6f2f94bc 下载样本和收集信息​ 分析恶意文档通过malwoverview的输出，可以看到恶意文档可能会释放出exe，然后提升权限，HOOK，进程注入等操作。 使用olevba和oleid来收集更多的信息 ​ ​ 从这2个图可以分析出一些事实 当MS Word

https://zzzzsky.com/2021/11/17/L3HCTF_WP_RE_/

L3HCTF 部分RE WPdouble-joyIDA打开程序，找到main函数进行分析 最关键的是enc_flag 函数, 经过调试，发现传入的参数有2套，都是固定的结构体 1234567typedef struct _struc_1{ BYTE* pKey; //指向OPCODE _DWORD* pFlag; //指向FLAG，主要这个FLAG前40个字节是用户输入的，后面

https://zzzzsky.com/2021/12/08/LearnIDAPython/

IDAPython 学习笔记比着大佬的博客系统的学习下IDAPython,做下笔记，供自己以后查询 https://www.cnblogs.com/iBinary/p/14642662.htmlhttps://www.cnblogs.com/iBinary/p/14672540.htmlhttps://www.cnblogs.com/iBinary/p/14801928.html 1、IDAP

https://zzzzsky.com/link/

某211研一在读|CTF_RE选手|tcl

https://zzzzsky.com/2021/11/25/2021GFCTF_WP/

2021GFCTF RE_WPwordy去除花指令 123456789addr =0X556AE377FD56end = 0x0556AE377FE40flag = ""for i in range(addr, end, 13): c = get_bytes(i+4, 1)[0] flag+=chr(c) print(flag)# GFCTF{u

https://zzzzsky.com/link/

某211研一在读|CTF_RE选手|tcl

https://zzzzsky.com/2023/02/27/Mastering_Malware_Analysis_Chapter_4/

Mastering Malware Analysis Chapter 4 识别壳 使用PEID等工具 看节的名字，比如.UPX0等 看入口点是不是不在第一个节，壳的一般入口点都在最后几个节中，第一个节的属性通常是READ| WRITE 看导入表的大小，在加了壳的程序中，导入表一般是非常的小的。 自动的脱壳 官方脱壳工具，比如UPX的，但是一般攻击者会修改几个模数使官方的工具无法脱壳，比如，修改